بخشی از مقاله
چکیده
اخراًی گوتام پیشنهاد یک طرح احراز هویت کاربر سبکوزن مبتنی بر شناسه با مرحله توافق کلید با استفاده از رمزنگاری منحنی بیضوی ارائه نمود که برای محیط سرویسدهنده/گیرنده مناسب میباشد. بااینحال، مابعد از بررسیهایی که انجام دادیم دریافتیم که این طرح دارای ضعفهای امنیتی متعددی است، ازجمله ضعف در برابر حملاتی از قبیل محرمانگی روبهجلو , انسداد سرویس، ردیابی، دزدیدن کارت هوشمند و غیره.
در این مقاله، جهت اصلاح طرح گوتام و برطرف کردن ضعفهای آن، نسخه جدیدی از طرح احراز هویت ناشناس به همراه توافق کلید مورداستفاده برای محیط سرویسدهنده/گیرنده را پیشنهاد نمودیم. در طرح احراز هویت پیشنهادی، سعی شده است که علاوه بر استفاده از مزایای طرح احراز هویت گوتام از یک روش ترکیبی مبتنی بر رمزهای کلید همگانی و رمزهای کلیدمتفارن برای ایجاد اصلاحات لازم بکارگیری شود. در انتها، تحلیلهای امنیتی لازم برای اثبات درستی اصلاحات انجامشده ارائه گردیده است.
کلمات کلیدی: رمزنگاری، پروتکل احراز هویت، گمنامی، پروتکل احراز هویت گوتام، اینترنت اشیا
مقدمه
اصطلاح اینترنت اشیا تکامل مستمر اینترنت را به شبکهای از اشیاء هوشمند توصیف میکند. این اشیاء قابلیت اتصال به اینترنت رادارند و میتوانند باهم و با منابع مرکزی ارتباط برقرار کنند. اینترنت اشیا از فناوریهای متعددی مانند شبکههای حسگر بیسیم، شهرهای هوشمند، خانههای هوشمند و سامانههای تلفن همراه استفاده میکند. این سناریوها نیاز به راهحلهای امن برای جلوگیری از نشت اطلاعات خصوصی و فعالیتهای مخرب دارند.
بااینوجود، ساختارهای اینترنت اشیا مبتنی بر آی پی، با محدودیت دستگاههای اینترنت اشیا مانند مصرف انرژی، منابع محاسباتی، محدوده ارتباطات، حافظه بهطور کامل طراحی نشده است. بهعنوان یک نتیجه، بهکارگیری راهحلهای امنیتی بسیار سبک، برای اطمینان از امنیت دستگاههای منابع محدود اینترنت اشیا مناسب است. همانند شبکه های آی پی موجود، در سناریوهای مختلف اینترنت اشیا ، اصول اولیه رمزنگاری در اینترنت اشیا برای رعایت اهداف امنیتی که یکی از مهمترین این اصول مسئله احراز هویت است، استفاده میشود که در این مقاله موردبحث قرارمی گیرد.
در اینترنت اشیا، احراز هویت شامل فرآیند شناسایی کاربران، دستگاهها، برنامهها و محدود کردن دسترسی فقط برای کاربران مجاز میباشد. اگر اینترنت اشیا را یک محیط سرویسدهنده گیرنده در نظر بگیریم، آن سرویس دهنده میتواند با کمک پروتکلهای احراز هویت دستگاه قانونی یا ثبتشده اینترنت اشیا را شناسایی و از پذیرفتن دستگاههای غیرقانونی یا جعلی امتناع نماید.
سپس سرویس دهنده و دستگاه، کلیدی برای برقراری ارتباط امن فراهم میکند که شامل انتقال دادههای حساس، فرمان و بهروزرسانی اطلاعات دستگاه و غیره میباشد. بنابراین احراز هویت نقش مهمی را در رعایت الزامات امنیتی برای دستگاههای اینترنت اشیا ایفا میکند. طی سالهای متمادی، پروتکلهای احراز هویت بسیاری برای دستگاههای تعبیهشده که از رمزنگاری متقارن یا رمزنگاری کلید عمومی استفاده میکنند پیشنهادشده است.
در این مقاله، ما یک طرح ترکیبی بهصورت استفاده همزمان از رمزهای کلید همگانی که یکی از بهترینهای آن رمزهای مبتنی بر خم بیضوی است که مناسب برای دستگاههای محدود اینترنت اشیاست و رمزهای کلید خصوصی ارائه میکنیم. در این طرح پیشنهادی، از رمزهای کلید همگانی صرفا برای توافق کلید بین سرویسگیرنده و سرویس دهنده استفاده می شود و در بقیه مراحل از رمزهای متقارن که شامل کلمه عبور است، استفاده می شود.
ساختار این مقاله به این گونه است که در بخش دوم مروری بر طرح احراز هویت گوتام شده است. در بخش سوم نقاط ضعف این پروتکل را بررسی میکنیم. در بخش چهارم طرح پیشنهادی جهت اصلاح ضعف ها را بیان کرده و در بخش پایانی تحلیل امنیتی طرح احراز هویت پیشنهادی به همراه مقایسه ها ارائه شده است.
مروری بر طرح گوتام
گوتام یک طرح احراز هویت متقابل با توافق کلید جلسه بین کاربر U و یک سرویس دهنده S از راه دور را ارائه میدهد. سرویس دهنده ابتدا پارامترهای سیستم را تنظیم نموده و در زمان ثبتنام یک کلید مخفی برای هر کاربر توزیع میکند. طرح پیشنهادی گوتام در پنج فاز انجام میشودکه شامل فاز اولیه سیستم، مقادیر حداکثر و حداقل، USN، مرحله ثبتنام کاربر، احراز هویت متقابل با مرحله توافق کلید و مرحله بهروزرسانی هویت است. در ادامه به تشریح فاز های مختلف این طرح می پردازیم.
مقادیر حداکثر و حداقل و USN
مقادیر حداکثر و حداقل اختصاص دادهشده به هر کاربر در مرحله ثبتنام صورت می پذیرد. اندازه مقدار حداکثر، حداقل باید سه برابر مقدار حداقل باشد . و یک شماره توالی منحصربهفرد به نامUSN نیز برای هر کاربر همراه با مقادیر حداکثر و حداقل اختصاص داده میشود.
فاز ثبت نام کاربر
فاز ثبتنام زمانی رخ میدهد که کاربر U بخواهد از راه دور با سرویس دهنده S ارتباط برقرار نماید. تمام گام های این فاز در یک کانال امن قرار میگیرد.گام :1 کاربر با آی دی خود وارد سرویس دهنده میشود.گام :2 سرویس دهنده S مقدار IDU را ذخیره کرده و مقدار Hu=H1 - IDU - را محاسبه میکند. گام :3 سرویس دهنده S مقدار حداکثر و حداقل را همراه با شماره توالی کاربر - USN - تعیین میکند. گام :4 سرویس دهنده S کلید مخفی کاربر را به روش زیر محاسبه مینماید:گام :5 مقادیر xU ، حداکثر، حداقل، USN را در یک کارت هوشمند چاپ میکند و آن را به کاربر U میدهد.
تأیید هویت مشترک با مرحله توافق کلید
در این مرحله، کاربر U درخواستی را به سرویس دهنده از راه دور برای دسترسی به تعدادی از منابع S میفرستد. سپس سرویس دهنده S درخواست را با تائید کاربر U در نظر میگیرد و جلسه بین U و S با یک کلید جلسه انجام میشود. کاربر U از طریق ارسال یک شناسه ناشناس به سرویس دهنده S به روش زیر، احراز هویت ناشناس میشود. تأیید هویت کاربر U توسط سرویس دهنده Sمرحله U : 1 کارت هوشمند خود را به دستگاه کارتخوان C وارد میکند و هویت IDU را وارد میکند.